<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1//EN" "https://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd">
<html xmlns="https://www.w3.org/1999/xhtml" xml:lang="zh-CN">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<meta http-equiv="Content-Language" content="zh-CN" />
<!--[if lt IE 9]><style type="text/css">@font-face { font-family: "JinBuGuoWebMono"; src: url("/d/mono.eot"); }</style><![endif]-->
<style media="all" type="text/css">
@font-face { font-family: "JinBuGuoWebMono"; src: url("http://www.jinbuguo.com/d/mono.ttf") format("truetype"); }
* { font-family: "JinBuGuoWebMono", "Ubuntu Mono", "Consolas", "Menlo", monospace; }
body { margin:10px; }
h1,h2 { text-align:center; background:#ddd; }
h2 { margin: 10px 5%; }
h2#auth_name {  background:#fff; }
</style>
<title>vsftpd.conf 中文版 [金步国]</title>
<script> var _hmt = _hmt || []; (function() { var hm = document.createElement("script"); hm.src = "https://hm.baidu.com/hm.js?d286c55b63a3c54a1e43d10d4c203e75"; var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(hm, s); })(); </script>
</head>

<body>
<h1>vsftpd.conf 中文版</h1><h2 id="auth_name">译者：<strong><a href="../index.html">金步国</a></strong></h2>
<hr />
<h3>版权声明</h3>
<p>本文译者是一位开源理念的坚定支持者，所以本文虽然不是软件，但是遵照开源的精神发布。</p>
<ul>
<li>无担保：本文译者不保证译文内容准确无误，亦不承担任何由于使用此文档所导致的损失。</li>
<li>自由使用：任何人都可以自由的<u>阅读/链接/打印</u>此文档，无需任何附加条件。</li>
<li>名誉权：任何人都可以自由的<u>转载/引用/再创作</u>此文档，但必须保留译者署名并注明出处。</li>
</ul>
<h3>其他作品</h3>
<p>本文译者十分愿意与他人分享劳动成果，如果你对我的其他翻译作品或者技术文章有兴趣，可以在如下位置查看现有的作品集：</p>
<ul>
<li><a href="../index.html">金步国作品集</a> [ <a href="../index.html">http://www.jinbuguo.com/</a> ]</li>
</ul>
<h3>联系方式</h3>
<p>由于译者水平有限，因此不能保证译文内容准确无误。如果你发现了译文中的错误(哪怕是错别字也好)，请来信指出，任何提高译文质量的建议我都将虚心接纳。</p>
<ul>
<li>Email(QQ)：70171448在QQ邮箱</li>
</ul>
<hr />



<pre>
---------------------
描述
---------------------
vsftpd.conf 是 vsftpd 守护进程的配置文件，默认位于 /etc/vsftpd.conf ，
但是其路径也可以通过 vsftpd 的命令行参数进行修改。
这个特性在希望由 xinetd 针对每个不同的主机使用不同的配置文件调用 vsftpd 的场合很有用。

---------------------
格式
---------------------
vsftpd.conf 的格式非常简单，每一行要么是一条指令，要么就被视作注释。
以井号(#)开头的行被视为注释而忽略。
而如下格式的行将被视为配置指令。注意：等号两边不能有任何空白！

option=value

每一个指令都有一个默认值，但是可以通过配置文件进行修改

---------------------
布尔型指令
---------------------
布尔型指令的值只能设为 YES 或 NO ，等号后是其默认值。

allow_anon_ssl=NO
    是否允许匿名用户使用SSL连接。仅在 ssl_enable=YES 时才有意义。

anon_mkdir_write_enable=NO
    是否允许匿名用户创建新目录。
    仅在 write_enable=YES 时才有意义，而且匿名用户必须对所在目录具有写权限。

anon_other_write_enable=NO
    是否允许匿名用户在上传文件和创建目录之外执行其他写操作，比如删除和重命名。

anon_upload_enable=NO
    是否允许匿名用户或虚拟用户上传文件。
    仅在 write_enable=YES 时才有意义，而且匿名用户必须对所在目录具有写权限。

anon_world_readable_only=YES
    是否<b>仅允许</b>匿名用户下载全局可读的文件。
    这主要是考虑到 ftp 用户可能会拥有文件，特别是允许上传文件的情况下。

anonymous_enable=YES
    是否允许匿名登录。ftp 和 anonymous 两个名称都被认为是匿名用户。

ascii_download_enable=NO
    是否允许以ASCII模式下载文件。

ascii_upload_enable=NO
    是否允许以ASCII模式上传文件。

async_abor_enable=NO
    是否允许使用"async ABOR"命令。
    只有不合格的FTP客户端才会使用此命令，而且此命令难以正确处理，所以默认禁止使用。

background=NO
    是否以"listen"模式运行。
    该模式下的 vsftpd 会将监听进程放到后台运行。

check_shell=YES
    是否检查本地登录用户的SHELL合法性(/etc/shells)。仅在 vsftpd 不支持PAM特性时有意义。

chmod_enable=YES
    是否允许使用 SITE CHMOD 命令。仅对本地登录用户有意义，匿名用户永远不允许使用此命令。

chown_uploads=NO
    是否将所有匿名上传的文件所有者更改为 chown_username 指定的用户。

chroot_list_enable=NO
    是否读取 chroot_list_file 文件中的"chroot例外"用户。
    当 chroot_local_user=YES 时，chroot_list_file 文件中用户将<b>不会</b>被限制在其家目录中。
    当 chroot_local_user=NO 时，chroot_list_file 文件中用户将<b>会</b>被限制在其家目录中。

chroot_local_user=NO
    是否将本地登录的用户通过 chroot() 限制在其家目录中。
    该功能有安全方面的隐患，特别是在用户有上传权限或者有可用SHELL的时候。

connect_from_port_20=NO
    是否强制 PORT 风格的数据连接使用 20 端口。
    出于安全考虑，一些 FTP 客户端隐含了这个假定。而设为 NO 则可以让 vsftpd 以非特权用户运行。

debug_ssl=NO
    是否将 OpenSSL 连接对话转储到日志文件中。

delete_failed_uploads=NO
    是否删除上传失败的文件

deny_email_enable=NO
    是否读取 banned_email_file 文件中的Email地址黑名单，其中的地址将被禁止用作匿名登录密码。

dirlist_enable=YES
    是否允许列出目录的内容。

dirmessage_enable=NO
    是否在进入新目录时显示 message_file 文件中的内容。

download_enable=YES
    是否允许下载

dual_log_enable=NO
    是否同时记录 xferlog_file 和 vsftpd_log_file 两份日志。

force_dot_files=NO
    是否强制显示隐藏文件(点文件)，即使客户端没有使用"a"选项也显示。

force_anon_data_ssl=NO
    是否强制匿名用户必须使用SSL连接发送和接受数据。仅在 ssl_enable=YES 时才有意义。

force_anon_logins_ssl=NO
    是否强制匿名登录时必须使用SSL连接，以保证密码不被泄露。仅在 ssl_enable=YES 时才有意义。

force_local_data_ssl=YES
    是否强制非匿名用户必须使用SSL连接发送和接受数据。仅在 ssl_enable=YES 时才有意义。

force_local_logins_ssl=YES
    是否强制非匿名登录时必须使用SSL连接，以保证密码不被泄露。仅在 ssl_enable=YES 时才有意义。

guest_enable=NO
    是否将所有非匿名登录看做"guest"登录，并被映射到 guest_username 指定的用户。

hide_ids=NO
    是否隐藏文件和目录的宿主和属组信息，而统一显示为"ftp"。

implicit_ssl=NO
    是否强制客户端必须使用SSL连接(将 vsftpd 配置为一个FTPS服务器，也就是 implicit 模式)。
    FTPS 一般使用 990 端口作为控制端口，而使用 989 端口作为数据传输端口。

listen=YES
    是否以 standalone 模式运行。standalone 模式是指 vsftpd 不由 inetd 启动，而是独自监听和处理连接。

listen_ipv6=NO
    含义与 listen 指令相同，只是在 IPv6 套接字上进行监听。该指令与 listen 是互斥的，不能同时使用。

local_enable=NO
    是否允许本地用户登录。激活后，将允许 /etc/passwd 文件或PAM中的用户登录。
    必须激活此选项才能允许非匿名登录(包括虚拟用户登录)。

lock_upload_files=YES
    是否对上传中的文件加锁。激活后，所有下载进程将在该文件上共享一个读取锁。
    激活此指令后，恶意的读取进程会导致写进程饿死(比如追加的写进程)。

log_ftp_protocol=NO
    在 xferlog_std_format=NO 的前提下，是否在日志中记录所有FTP的请求和应答。主要用于调试。

ls_recurse_enable=NO
    是否允许客户端使用"ls -R"递归列出目录的内容。对于巨大的站点来说，可能会导致性能问题。

mdtm_write=YES
    是否允许客户端使用 MDTM 文件的修改时间(依然要受访问权限的限制)

no_anon_password=NO
    匿名用户是否需要输入口令后才能登陆。激活后匿名用户将不需要输入密码而直接登录。

no_log_lock=NO
    是否在记录日志文件时不对日志文件加锁。除非为了要解决某些操作系统缺陷，一般不应开启此指令。

one_process_model=NO
    简单的一句话：不要开启此指令。

passwd_chroot_enable=NO
    在 chroot_local_user=YES 的前提下，是否允许为每个不同的用户分别指定不同的 chroot() 位置。
    每个用户的虚根目录来自于 /etc/passwd 文件中对应的家目录。
    家目录中的 /./ 字符串表示虚根目录位于那个目录中的特定位置。

pasv_addr_resolve=NO
    是否允许将 pasv_address 指令的值设为主机名而不是IP地址，以便对其进行DNS解析。

pasv_enable=YES
    是否允许使用 PASV 命令获得数据连接的地址端口对。

pasv_promiscuous=NO
    是否禁止对 PASV 命令进行安全检查(确保数据连接和控制连接来自于同一个IP地址)。
    不要开启它，除非你明确知道自己在做什么。

port_enable=YES
    是否允许使用 PORT 命令获得数据连接的端口。

port_promiscuous=NO
    是否禁止对 PORT 命令进行安全检查(确保数据连接和控制连接来自于同一个IP地址)。
    不要开启它，除非你明确知道自己在做什么。

require_cert=NO
    是否强制SSL客户端必须提供证书。证书的有效性由 validate_cert 指令控制。

require_ssl_reuse=YES
    是否要求所有SSL数据连接都复用SSL会话，以确保它们都知道控制连接的主密码。
    虽然出于安全考虑，YES 是默认值，但是却与不少FTP客户端不兼容。

run_as_launching_user=NO
    是否以启动 vsftpd 的进程的用户身份运行。常在无法取得 root 权限的时候使用。
    警告：不要开启它，除非你明确知道自己在做什么，想当然的使用此指令会导致重大安全漏洞。
    开启此指令后，chroot 特性将会失效(即使由root启动)，还有其他许多重大安全问题。

secure_email_list_enable=NO
    是否仅允许匿名用户使用 email_password_file 指令指定的文件中的Email地址作为登录密码。
    在某些安全性要求不高的场合，这样做可以避免使用虚拟用户。

session_support=NO
    是否要求 vsftpd 维护登录会话。
    在使用PAM认证的时候，设为 YES 表示打开一个PAM会话，并更新 utmp 和 wtmp 文件。
    如果不需要记录会话，则应该设为 NO ，以让 vsftpd 运行的更快并且需要更少的特权。

setproctitle_enable=NO
    是否在进程的标题中包含会话状态信息(idle, downloading ...)。出于安全考虑，建议设为 NO 。

ssl_enable=NO
    是否允许客户端使用SSL连接(将 vsftpd 配置为一个 FTPS 服务器，也就是 explicit 模式)。
    与 implicit_ssl 指令的不同之处在于它并不强制客户端一定要使用SSL连接。

ssl_request_cert=YES
    是否允许查看客户端证书(与 require_cert 不同，并非必须查看)。

ssl_sslv2=NO
    是否允许使用 SSL2 进行连接。推荐使用 TLS1 。仅在 ssl_enable=YES 时才有意义。

ssl_sslv3=NO
    是否允许使用 SSL3 进行连接。推荐使用 TLS1 。仅在 ssl_enable=YES 时才有意义。

ssl_tlsv1=YES
    是否允许使用 TLS1 进行连接。推荐使用 TLS1 。仅在 ssl_enable=YES 时才有意义。

strict_ssl_read_eof=NO
    是否强制SSL数据上传在SSL连接内终结，而不是以socket结束作为终结。
    设为 YES 可以确保攻击者无法通过伪造的 TCP FIN 包提前终止上传数据流。
    不幸的是，只有很少的客户端能正确处理，所以默认值为 NO

strict_ssl_write_shutdown=NO
    是否强制SSL数据下载在SSL连接内终结，而不是以socket结束作为终结。
    设为 YES 可以确保攻击者无法通过伪造的 TCP FIN 包提前终止下载数据流。
    不幸的是，只有很少的客户端能正确处理，所以默认值为 NO
    不过即使无此保证，客户端依然能够检查下载文件的完整性。

syslog_enable=NO
    是否通过系统日志机制记录日志而不是由 vsftpd 自己记录。日志将通过 FTPD facility 进行记录。

tcp_wrappers=NO
    是否通过 tcp_wrappers 对进入连接进行访问控制。仅在编译了 tcp_wrappers 支持的时候有效。
    tcp_wrappers 可以针对每个单独的IP进行设置。
    如果 tcp_wrappers 设置了 VSFTPD_LOAD_CONF 环境变量，那么 vsftpd 会话将会尝试加载其指定的配置文件。

text_userdb_names=NO
    是否在列出目录内容时不显示文件和目录的 UID 和 GID 值，而是显示其对应的名称。
    默认值 NO 主要是出于性能考虑。

tilde_user_enable=NO
    是否将类似 ~chris/pics 这样路径解析到对应的用户主目录下。
    注意： ~ 和 ~/something 将始终被解析( ~ 表示初始登录的目录)。
    注意： ~user 仅在当前的 chroot() 中存在 /etc/passwd 时才能被解析。

use_localtime=NO
    是否在列出目录内容时以本地时间(而非UTC时间)显示。MDTM FTP 返回的时间也有该指令控制。

use_sendfile=YES
    是否使用操作系统的 sendfile() 接口发送文件。

userlist_deny=YES
    是否允许 userlist_file 文件之外的用户登陆。该指令仅在 userlist_enable=YES 时有意义。

userlist_enable=NO
    是否禁止 userlist_file 文件中的用户登陆。设为 NO 则根本无视该文件。

validate_cert=NO
    是否强制要求SSL客户端证书必须有效。自签名的证书总是被认为是无效的。

virtual_use_local_privs=NO
    是否让虚拟用户拥有与本地用户一样的权限(虚拟用户默认权限与匿名用户相同)。

write_enable=NO
    是否允许执行FTP写入操作(STOR, DELE, RNFR, RNTO, MKD, RMD, APPE, SITE)。

xferlog_enable=NO
    是否在 vsftpd_log_file 文件中记录上传和下载信息。

xferlog_std_format=NO
    是否在 xferlog_file 文件中按照标准的 xferlog 格式(wu-ftpd 的格式)记录日志。
    这样做的好处是可以使用针对 wu-ftpd 设计的日志分析工具。但是默认格式更易于阅读。

---------------------
数值型指令
---------------------
数值型指令的值只能设为一个非负整数，等号后是其默认值。
为了支持 umask 相关的选项，八进制数也被支持，但是必须以"0"作为第一个数字。

accept_timeout=60
    允许客户端建立 PASV 风格的数据传输连接的秒数。

anon_max_rate=0
    匿名用户允许的最大数据传输率，单位是"字节/秒"。"0"表示不限。

anon_umask=077
    匿名用户创建新文件是的 umask 值。

chown_upload_mode=0600
    使用 chown() 更改匿名用户上传的文件的用户时，将此文件的权限设为什么值。

connect_timeout=60
    客户端相应 PORT 风格的数据连接的超时秒数。也就是必须在此时间内建立数据连接。

data_connection_timeout=300
    数据传输的超时秒数。如果超过此处规定的秒数，数据传输依然没有任何进展，那么该客户端将被踢出。

delay_failed_login=1
    在对一个失败的登录作出相应前暂停的秒数。

delay_successful_login=0
    在对一个成功的登录作出相应前暂停的秒数。

file_open_mode=0666
    上传的文件被创建时使用的权限。umask 值将会应用到这个值上面。
    如果你希望上传的文件具有可执行权限，那么可以设为 0777

ftp_data_port=20
    指定 PORT 风格的连接从哪个端口发起(仅在 connect_from_port_20=YES 时有意义)

idle_session_timeout=300
    客户端在两个FTP命令之间允许的最大间隔秒数。超时的客户端将被踢出。

listen_port=21
    仅对 standalone 模式有效。指定在哪个端口上监听。

local_max_rate=0
    本机用户允许的最大数据传输速率。"0"表示不限。

local_umask=077
    本机用户在创建上传文件时使用的 umask 值。

max_clients=0
    standalone 模式下，允许连接的最大客户端数量。"0"表示不限。

max_login_fails=3
    最大登录尝试次数。失败次数超过这个值之后，该次会话将被终止。

max_per_ip=0
    standalone 模式下，同一个IP地址允许发起的最大并发连接数。"0"表示不限。

pasv_max_port=0
    允许为 PASV 风格的数据连接使用的最大端口号。"0"表示不限。

pasv_min_port=0
    允许为 PASV 风格的数据连接使用的最小端口号。"0"表示不限。

trans_chunk_size=0
    一般不需要调整此设置，但是也可能需要将其设置成诸如 8192 之类的值以达到更平滑的带宽限制。
    "0"表示让 vsftpd 自己选择一个合理的值。

---------------------
字符串型指令
---------------------
等号后是其默认值。(none)表示没有默认值。

anon_root=(none)
    匿名用户登录后的 chroot 目录。若未指定则使用 ftp_username 指令的家目录。
    注意：ftp_username 指令指定的用户不能拥有该目录的写权限。

banned_email_file=/etc/vsftpd.banned_emails
    包含禁止匿名用户使用的登录密码(Email地址)的文件。仅在 deny_email_enable=YES 时才被读取。

banner_file=(none)
    指定一个文件，其内容将在客户端连接上服务器时显示。设置后将取代 ftpd_banner 指令的值。

ca_certs_file=(none)
    用于校验客户端证书的CA证书文件。
    注意：vsftpd 并不使用默认的 SSL CA 证书路径，因为 vsftpd 只能看到虚根(chroot)下的文件。

chown_username=root
    匿名用户上传的文件的宿主。仅在 chown_uploads=YES 时有意义。

chroot_list_file=/etc/vsftpd.chroot_list
    包含"chroot例外用户"的文件，仅在 chroot_list_enable=YES 时才有意义。

cmds_allowed=(none)
    允许客户端使用的FTP命令(逗号分隔的列表，"USER,PASS,QUIT"总被允许)，列表外的命令都将被拒绝。
    不设置表示允许所有命令。

cmds_denied=(none)
    禁止客户端使用的FTP命令(逗号分隔的列表，"USER,PASS,QUIT"总被允许)，其优先级比 cmds_allowed 更高。

deny_file=(none)
    设置一个匹配模式，禁止访问任何与此模式匹配的文件和目录(并不隐藏这些文件)。
    注意，不要依赖此指令做访问控制，而应该优先使用操作系统的文件和目录权限。该指令主要用于控制虚拟用户的权限。
    需要注意的是，可以通过多个途径(链接)访问的文件/目录，必须把所有途径都要考虑进去。
    匹配模式语法很简单，仅支持 *, ?, {} 三种符号，例如：deny_file={*.mp3,*.mov,.private}
    注意：仅在路径的结尾部分才支持匹配。也就是说 a/b/? 是可以进行匹配的，但是 a/?/c 是不可以被匹配的。

dsa_cert_file=(none)
    用于SSL连接的DSA证书。默认值(none)表示使用RSA证书。

dsa_private_key_file=(none)
    用于SSL连接的DSA私钥。未指定(none)表示私钥就存在于证书文件中。

email_password_file=/etc/vsftpd.email_passwords
    指定一个文件，其中每一行都是一个Email地址。仅在 secure_email_list_enable=YES 时有意义。

ftp_username=ftp
    用于处理匿名FTP操作的系统用户。该用户的家目录即是匿名用户登录后的根目录。

ftpd_banner=(none)
    指定一个字符串，用于覆盖默认的 vsftpd 欢迎词。默认值(none)表示使用 vsftpd 内置的默认值。

guest_username=ftp
    将 guest 用户映射到哪个实际用户。参见 guest_enable 指令对于 guest 登录的介绍。

hide_file=(none)
    设置一个匹配模式，隐藏任何与此模式匹配的文件和目录(但是并不阻止对其访问)。
    需要注意的是，可以通过多个途径(链接)访问的文件/目录，必须把所有途径都要考虑进去。
    匹配模式语法很简单，仅支持 *, ?, {} 三种符号，例如：deny_file={*.mp3,*.mov,.private}
    注意：仅在路径的结尾部分才支持匹配。也就是说 a/b/? 是可以进行匹配的，但是 a/?/c 是不可以被匹配的。

listen_address=(none)
    仅对 standalone 模式有效。指定在哪个IP地址上监听。默认值为空，表示监听所有IP地址。

listen_address6=(none)
    与 listen_address 指令含义相同，不过是针对 IPv6 地址(仅在 listen_ipv6=YES 时有意义)。

local_root=(none)
    指定一个本地登录(非匿名)后的默认 chroot 目录。即使失败也不会有任何提示。

message_file=.message
    指定进入一个目录时向用户显示哪个文件的内容。仅在 dirmessage_enable=YES 时有意义。

nopriv_user=nobody
    当 vsftpd 进入非特权模式时使用的用户名。最好设置为一个专门的用户，而不是默认的 nobody 用户。

pam_service_name=ftp
    vsftpd 将要使用的PAM服务名称

pasv_address=(none)
    指定用于应答 PASV 命令的IP地址。当 pasv_addr_resolve=YES 时，可以使用主机名。
    默认值(none)表示使用连接接入的IP地址。

rsa_cert_file=/usr/share/ssl/certs/vsftpd.pem
    用于SSL连接的RSA证书文件的位置

rsa_private_key_file=(none)
    用于SSL连接的RSA私钥文件的位置。(none)表示私钥就存放于证书文件中。

secure_chroot_dir=/usr/share/empty
    该指令的值必须是一个空目录，并且对于 ftp 用户没有写权限。
    该目录将在 vsftpd 不需要文件系统权限时，被用作安全的 chroot() 监狱。

ssl_ciphers=DES-CBC3-SHA
    指定允许使用的SSL连接加密算法。
    限制仅允许使用特定的算法可以将那些安全性较弱的算法排除在外。

user_config_dir=(none)
    这个很牛叉的指令可以用于针对每个不同的用户进行不同的设置。
    使用方法很简单，假定 user_config_dir=/etc/vsftpd_user_conf ，
    那么当"chris"登录后，vsftpd 将针对该用户使用 /etc/vsftpd_user_conf/chris 文件中的设置。
    该文件的语法与 vsftpd.conf 本身完全相同，但是并非所有指令都可以针对每个用户单独设定。
    例如 listen_address, banner_file, max_per_ip, max_clients, xferlog_file 等指令。

user_sub_token=(none)
    根据模板自动为每个虚拟用户生成一个家目录，与虚拟用户一起使用才有意义。
    例如，如果实际用户(guest_username)的家目录是 /home/virtual/$USER ，并且 user_sub_token=$USER ，
    那么虚拟用户 fred 的家目录就是 /home/virtual/fred (通常被 chroot 进该目录)。
    在 local_root 包含了 user_sub_token 的情况下，该指令依然有效。

userlist_file=/etc/vsftpd.user_list
    指定 userlist_enable=YES 时要加载的文件

vsftpd_log_file=/var/log/vsftpd.log
    指定 vsftpd 风格的日志文件的路径。
    仅在(xferlog_enable=YES 并且 xferlog_std_format=NO)或者(dual_log_enable=YES)时有意义。
    注意：如果 syslog_enable=YES ，那么日志将被发送到系统日志记录器，而不会记录到这里指定的文件中。

xferlog_file=/var/log/xferlog
    指定wu-ftpd风格的日志文件的路径。
    仅在(xferlog_enable=YES 并且 xferlog_std_format=YES)或者(dual_log_enable=YES)时有意义。

</pre>



<hr />

</body></html>